Как отношения меняются Перестрахование и управление политикой



Как раз когда мы готовились к курортному сезону, возникли проблемы с безопасностью в Log4j. Специалисты по безопасности со всего мира приступили к действиям, чтобы понять свои уровни риска, установить исправления для любого внутреннего программного обеспечения и развернуть обновленные версии продуктов от своих поставщиков. Это продолжится и в этом году, судя по беседам с директорами по информационной безопасности и командами безопасности.

За техническими проблемами, связанными с цепочкой поставок программного обеспечения и внутренними приложениями, стоит также элемент управления бизнес-рисками — например, как компания управляет рисками своей деятельности, используя такие инструменты, как киберстрахование, в дополнение к своим процессам безопасности. В случае возникновения проблемы киберстрахование должно покрывать расходы на восстановление данных, перестройку приложений и возобновление работы в обычном режиме.

Какова роль киберстрахования с течением времени?

Киберстрахование — это важная отрасль, которая быстро растет: по данным GlobalData, в 2020 году валовые подписанные страховые взносы составили 7 миллиардов долларов. Ожидается, что к 2025 году рынок киберстрахования достигнет 20,6 миллиардов долларов. За последние несколько лет рынок киберстрахования рынок был конкурентным, поэтому страховые взносы были низкими, а полисы всеобъемлющими. За последний год ситуация изменилась — увеличился объем претензий, что привело к увеличению выплат, что повлияло на прибыльность страховых компаний.

Проблема Log4j повлияет на то, как страховые и перестраховочные компании будут составлять свои полисы в будущем. Мы уже наблюдаем обсуждение вопросов, связанных с Log4j, которые будут исключены из полисов перестрахования в 2022 году, поскольку 31 декабря 2021 года многие полисы были продлены. Это повлияет на полисы, которые страховые компании могут предлагать своим клиентам.

Что это означает для групп ИТ-безопасности? Для практиков это сделает их работу более важной, чем раньше, поскольку предотвращение возможных проблем будет более ценным для бизнеса. Потребуется выполнение стандартных методов обеспечения безопасности, таких как инвентаризация активов и управление уязвимостями, в то время как изучение спецификаций программного обеспечения для тех же проблем поможет с точки зрения безопасности цепочки поставок программного обеспечения. Эти методы также должны быть в высокой степени автоматизированы, поскольку бизнес должен иметь возможность получать точную информацию в течение нескольких часов, а не месяцев, чтобы справляться с будущими угрозами и снижать влияние на затраты.

Для тех, кто отвечает за более широкий бизнес-риск, эти события, связанные с киберстрахованием, будут представлять более серьезную проблему. Полисы киберстрахования по-прежнему будут доступны — и будут необходимы там, где это необходимо, — но сами полисы будут охватывать меньше возможностей. В то время как в последние несколько лет были довольно широкомасштабные полисы, которые окупались по целому ряду вопросов, будущие полисы обеспечат меньший охват.

Подобно реальному медицинскому страхованию, из которого исключаются ранее известные условия, полисы киберстрахования будут более строгими. Ассоциация рынка Ллойда, отвечающая за рекомендации страховой организации Lloyd’s of London, уже опубликовала в 2021 году руководство по типовым положениям для страховых компаний в отношении кибервойн и атак. Сюда входят любые действия, предпринятые хакерскими группами, связанными с национальными государствами, как это произошло с атакой NotPetya, нацеленной на организации в Украине в 2017 году, которая затем распространилась на глобальные компании.

Эти изменения в киберстраховании усложнят управление бизнес-рисками в контексте. Хотя ИТ-команда может выполнять свои задачи, она не сможет контролировать все, за что отвечают компании в их цепочке поставок программного обеспечения. По данным Google Safety, более 17 000 пакетов в Maven Central включали Log4j на 19 декабря 2021 года, поэтому он широко встроен в программное обеспечение. Около четверти этих пакетов имеют обновленные версии. Это должно улучшиться со временем, но будет много пакетов, которые либо не могут быть обновлены, либо являются бесхозными пакетами, которые не исправляются. Любой инцидент, связанный с Log4j в цепочке поставок программного обеспечения, может повлиять на бизнес, несмотря на все усилия группы ИТ-безопасности.

Заблаговременное планирование управления рисками
Чтобы опередить это, предприятия должны пересмотреть свой общий подход к управлению рисками. Насколько они полагаются на киберстрахование как часть своей стратегии управления рисками по сравнению со своими внутренними процессами, и как это изменится в этом году? Со временем киберстрахование будет охватывать меньший объем, и получить одобрение претензии будет сложнее.

Чтобы справиться с этим, директора по информационной безопасности должны подумать о правильном понимании основ безопасности в рамках своей общей стратегии управления рисками. Это будет достигнуто только за счет сотрудничества с более широким ИТ-отделом и самим бизнесом. Например, современному директору по информационной безопасности необходимо изучить уязвимости в системе безопасности во всех аспектах бизнеса — подумайте о центрах обработки данных, облачных развертываниях, приложениях «программное обеспечение как услуга» и т. д. — и эти данные должны быть представлены в контексте риска. к бизнесу по отделам и отделам. Это позволяет предприятиям получить точную картину своей безопасности и поместить ее в бизнес-контекст.

Кроме того, эти риски должны быть приоритетными с точки зрения влияния на бизнес. Например, если в основном бизнес-приложении обнаружена серьезная уязвимость, такая как Log4j, и требуется быстрое исправление, все узнают об этом и быстро поддержат запрос на изменение. Совет директоров и команда бизнес-лидеров будут знать, какое влияние на бизнес окажет такое быстрое реагирование, а также риск, связанный с его невыполнением. Это упрощает получение поддержки для повышения безопасности в организации, снижая риск с течением времени.

Это поможет двумя способами. Во-первых, следует снизить вероятность проблем с безопасностью, ведущих к успешным атакам, таким как программы-вымогатели, в первую очередь, поскольку проблемы устраняются до того, как становятся доступными эксплойты. Во-вторых, он должен продемонстрировать, что организация использует эффективные передовые методы и уделяет первостепенное внимание безопасности в своих операциях. Это может помочь упростить получение разумного полиса киберстрахования, а также гарантировать, что любой полис будет оплачен, когда это необходимо.

https://cyberxhack.org/